Whitepaper - IT

WHITEPAPER SECURITY
SICHERHEIT DURCH NETZWERKE –
REALISIERBAR ODER MARKETING-GAG?
Die Aufgabe eines Netzwerkes besteht darin, Daten zu transportieren. Genau mit dieser
Intention wurden ursprünglich Netzwerke errichtet. Heute ist die Grundidee zwar dieselbe, die
Netzwerke haben sich allerdings zu einem immer bedeutenderen Bestandteil der
Unternehmenskommunikation entwickelt. Doch mit der Weiterentwicklung der Netzwerke
haben sich auch die elektronischen Feinde mitentwickelt. Viren und Würmer können innerhalb
von Stunden, manchmal sogar von Minuten, ganze Netze lahm legen. Neben diesen
Schädlingen können aber auch Denial of Service Attacks (DoS) das Netz oder wichtige Server
direkt zum Erliegen bringen.
Der Trend entwickelt sich zurzeit verstärkt in Richtung intelligente und sichere Netze. Hierbei
wird sogar von Netzwerken gesprochen, die in der Lage seien, sich selbst gegen Angriffe zu
verteidigen. Im folgenden Text wird beleuchtet, inwieweit die Implementierung von IT-Security
Mechanismen in das Netzwerk überhaupt realisierbar und sinnvoll ist. Daraus wird zudem eine
Empfehlung für den Einsatz von IT-Security Komponenten abgeleitet.
Aktuelle Sicherheitsbedrohungen
Zunächst einmal soll erörtert werden, warum man sich überhaupt dem Thema IT-Security
widmen soll. Da sind zum einen die „Klassiker“. Attacken und Angriffe aus dem Internet, aber
auch aus dem internen Netz. Dazu zählen Viren, Würmer und Trojaner. Verteilt werden diese
zumeist über E-Mails, jedoch zunehmend auch über den einfachen Aufruf von gefährlichen
Webseiten. Auf diesen Webseiten verbirgt sich so genannter „Malicious Code“, also böswillige,
heimtückische Programme. In der letzten Zeit sind verstärkt Angriffe dieser so genannten
Spyware zu verzeichnen. Programme, die sich heimlich auf Computersystemen installieren
und heimtückisch Inhalte, Passwörter etc. ausspionieren. In diese Angriffsklasse können auch
Adware-Attacken eingeordnet werden. Die meisten Anwender finden diese plötzlich
erscheinenden Werbeeinblendungen in Pop-Up Fenstern störend und zeitraubend. Darüber
hinaus können sich darin zu allem Übel auch noch Würmer, Trojaner etc. verstecken.
Seite 1
WHITEPAPER SECURITY
Sicherheitsrisiken
Viren
E-Mail Attacken
Spionage
Web Angriffe
Katastrophen
Irrtümer
Datendiebstahl
Denial of Services
Abbildung 1
Content-Security-Attacken spielen sich in den Inhalten der Datenpakete ab, die für Firewalls
wie ganz gewöhnlicher http-Verkehr aussehen und deshalb durch die Zutrittskontrolle der
Firewall in das interne Netz eintreten können.
Neben diesen „berühmt, berüchtigten“ Attacken, welche zumeist mit dem Internet in
Verbindung gebracht werden, existieren für Unternehmen jedoch auch zahlreiche Risiken aus
dem internen Netz. Dies mag zum einen eine unbewusst ausgelöste Denial-of-Service-Attacke
eines unbedarften Users sein, welche die Server zum Erliegen bringt. Es kann aber auch der
gezielte Angriff eines unzufriedenen Mitarbeiters sein, der Firmengeheimnisse ausspioniert
oder die Gehaltsdateien ausfindig machen möchte.
All diese erwähnten Risiken sind den meisten Unternehmen im Prinzip bekannt. Trotzdem
führt dies nicht dazu, dass jedes Unternehmen eine umfassende Schutzarchitektur
implementiert. Die Einführung von IT-Security kostet natürlich Ressourcen an Geld und
Mitarbeitern. In den Unternehmen wird deshalb oftmals die Frage nach dem Return on
Security Investment (RoSI) gestellt.
Zwei Tatsachen erscheinen an dieser Stelle als sicher zu gelten:
Die Bedrohung durch Sicherheitsangriffe ist für jedes Unternehmen individuell. Während ein
Unternehmen mit tausenden von SPAM-Mails am Tag bombardiert wird, ist dies für ein
anderes Unternehmen überhaupt kein Thema. Selbstkritisch ist an dieser Stelle anzumerken,
dass zahlreiche Anbieter von Sicherheitssystemen diese Bedrohungslage oftmals
pauschalisieren und überzeichnen.
Seite 2
WHITEPAPER SECURITY
Es ist eine permanente Zunahme von Security-Vorfällen in den letzten Jahren zu verzeichnen.
Die jährliche Steigerung liegt bei ca. 60%. Dabei ist eine Verschiebung der Angriffsarten
ersichtlich. Klassische Virenattacken nehmen ab. Die Ausnutzung von verwundbaren
Schwachstellen (Vulnerabilities) in Systemen und Programmen nimmt hingegen zu. Zu allem
Übel werden diese neuen Arten von Attacken immer komplexer und ausgefeilter.
Dementsprechend gilt es intelligente Abwehrmechanismen zu entwickeln.
Quelle: CERT
Abbildung 2
Erwähnt werden soll noch, dass es neben dem eigentlichen Zweck, das Unternehmen gegen
Angriffe zu schützen auch noch rechtliche und regulatorische Anforderungen an die
Unternehmen und deren Vorstände und Geschäftsführer gibt, geeignete
Sicherheitsmaßnahmen zu implementieren. Hierzu zählen das KonTraG, § 9 des BDSG und
die Richtlinien nach Basel II. Zunächst nur für in den USA börsennotierte Unternehmen hat der
Sarbanes-Oxley-Act ein starkes Gewicht erhalten. Stets ist es dabei für die Unternehmen
notwendig, ein angemessenes Risikomanagement zu implementieren. Die Frage nach dem
RoSI stellt sich dabei nicht, wenn ein Geschäftsführer bei Vernachlässigung der IT-Security
damit seine Sorgfaltspflichten verletzt.
Seite 3
WHITEPAPER SECURITY
Erläuterung der Schutzarchitektur
Welche Maßnahmen sind erforderlich, um Unternehmen gegen die erwähnten Bedrohungen
umfassend abzusichern? Die generellen Aufgaben von IT-Security sind dabei die Wahrung
der
Verfügbarkeit
Vertraulichkeit
Integrität
Authentizität von Informationen
Diese vier prinzipiellen Aufgaben sind bei der Datenübertragung gegen Attacken auf allen
sieben OSI-Layern zu erfüllen. Eine Klassifizierung dieser Risiken ist in Abbildung 3
dargestellt. Gegen Attacken auf diesen sieben „technischen“ Layern können geeignete
Schutztechnologien entwickelt und in Produkten umgesetzt werden. Enorm wichtig für eine
funktionierende Schutzarchitektur ist darüber hinaus die Einbeziehung der Anwender. Zu
diesem „social engineering“ gehört eine klare Security-Richtlinie, Anwender-Schulungen und
Einführung von Prozessen in der Unternehmensorganisation.
Klassifizierung von Risiken
„social engineering“, mangelnde Schulung
Content Security Risks
Malware, Phishing, Spyware, ...
Würmer, Hacking, ...
Spoofing, DoS, ...
Sniffing, Spoofing, ...
Phreaking, Breaking, ...
(Natur)Katastrophen, mangelhaftes Management,
fehlende Betriebsorganisation
8
Anwender
0
Infrastruktur und
Organisation
(das größte Virus ?)
Abbildung 3
Seite 4
WHITEPAPER SECURITY
Für eine umfassende Schutzarchitektur auf technischer Ebene sind folgende fünf Bestandteile
notwendig:
Firewall
Intrusion Detection
Content Security
Authentication
Encryption
Zusammengeführt werden diese Bestandteile durch ein Security Management, zu welchem
auch Directory Services bzw. eine Public Key Infrastructure (PKI) gehören. Erst alle diese
Bausteine zusammen ergeben eine umfassende Schutzarchitektur, welche nach heutigem
Stand „state-of-the-art“ ist.
Implementierung der Mechanismen im Netzwerk
Soll nun die Frage beantwortet werden, ob eine Sicherheit durch Netzwerke realisierbar ist, so
ist zu überprüfen, inwieweit die oben erwähnten 5 (fünf) Bestandteile der Schutzarchitektur
durch das Netzwerk erbracht werden können. Streng genommen dürften demnach nur
Technologien bis zur OSI-Ebene 3 (Network Layer) oder maximal bis zur Ebene 4 (Transport
Layer) berücksichtigt werden. Zum Einsatz kommen dann Filter, Access Control Lists (ACL),
802.1x und Verschlüsselung bis zum OSI-Layer 4. Gehen wir jedoch davon aus, dass auch
Verfahren zur Signatur- oder Anomalie-Erkennung, sowie Application Layer Firewalls in
Netzwerk-Komponenten integriert werden können. Im Folgenden wird die Implementierung
dieser Verfahren im Netzwerk dargestellt.
Zunächst kann festgestellt werden, dass eine Integration von Firewalls in die
Netzwerkkomponenten technisch realisierbar ist. Switches und Router mit integrierten
Firewalls existieren bereits. Der Einsatz insbesondere in Switches im internen Netzwerk hat
zudem den Vorteil, dass die Switching-Komponenten sämtlichen Datenverkehr „sehen“. Da
„state-of-the-art” Switches über große Rechenleistung verfügen, sind diese heute in der Lage,
neben dem Wirespeed Switching und Routing auch weitere Applikationen, wie z.B. Firewalls
ohne Leistungseinbußen auszuführen.
Die Integration von Firewalls im internen Netzwerk erlaubt ebenfalls eine schnelle,
kostengünstige Netzwerk-Segmentierung. Kritische Server-Systeme und Anwendungen
Seite 5
WHITEPAPER SECURITY
können durch Firewalls vor Einbruchs-Attacken geschützt werden. Durch die Verbreitung von
Ethernet und IP werden auch bislang separate Produktionsnetze integriert. Neue
Komponenten, wie z.B. Roboter, Steuerungen oder Sensoren werden an das bestehende
Netz angekoppelt. Zum Schutz dieser kritischen Produktionsnetze empfiehlt sich in jedem
Falle eine Abgrenzung durch Firewalls.
Abbildung 4
Auch der zweite Bestandteil - Intrusion Detection – kann mittels Integration in NetzwerkProdukten hervorragend abgedeckt werden. Sämtlicher Datenverkehr in Router bzw. Switches
kann auf Signaturen und Anomalien getestet werden. Lediglich separate Intrusion Scanner auf
Server-Systemen könnten weiterhin Sinn machen.
Der dritte Baustein Content Security ist mit einem Fragezeichen zu versehen. Teilfunktionen
können durch Switches mit abgedeckt werden. Stand heute sind jedoch spezielle Content
Security Switches mit ICAP noch wesentlich leistungsfähiger. Sicherlich kann mit weiter
steigender Leistung der Switching-Produkte hier von einer weiteren Integration von Content
Security Features ausgegangen werden.
Seite 6
WHITEPAPER SECURITY
Sichere Authentication, beispielsweise durch Verwendung von Token basierten Verfahren,
lassen sich hingegen nicht auf die Netzwerk-Ebene verlegen. Diese Verfahren sind Anwender
bezogen und bei bestem Willen nicht in das Netzwerk zu integrieren. Auch ein zentraler
Authentication Dienst wird wohl stets auf einem Server-System implementiert werden.
Der fünfte Bestandteil Encryption, als eine VPN-Verbindung von mehreren
Unternehmensstandorten durch Integration in die jeweiligen Zugangsrouter und einem
zentralen VPN-Gateway ist bereits in das Netzwerk integriert. Eine tatsächliche Ende-zuEnde-Verschlüsselung ist nur unter Einbeziehung der entsprechenden Endsysteme möglich.
Und auch hier scheitert naturgemäß der Ansatz, diese Funktion in das Netzwerk zu
integrieren.
Zusammenfassend lässt sich feststellen, dass es durchaus möglich ist, sowohl theoretisch als
auch praktisch, einige Bestandteile der IT-Security-Architektur in das Netzwerk zu integrieren.
Dies ist im Falle der Firewalls sogar die bevorzugte Variante. Sicherheit durch Netzwerke ist
damit zumindest teilweise realisierbar. Vorteile und Nachteile sind in Abbildung 5 dargestellt.
In das Reich der Marketing-Sagen gehört, dass das Netzwerk in der Lage ist, sämtliche
Attacken zu erkennen.
Sicherheit durch Netzwerke?!
Der Trend geht zur Netzwerk-Sicherheit! Warum?
Nachteile
Vorteile
•
•
•
•
•
•
Switches / Router sehen sämtlichen
Datenverkehr
Switches werden leistungsfähiger &
preiswerter. Wirespeed kann fast
jeder, und dann ist noch viel „Luft“.
Netzwerksegmentierung einfacher
durch Switch-Integration
umfassendes, einfacheres
Redundanzkonzept
einheitliches, durchgehendes Konzept
kostengünstiger
•
•
•
•
fehlende Standards
derzeit herstellerproprietär
separate Appliances sind auf
gewisse Security-Aufgaben besser
spezialisiert
Marketing schürt überzogene
Erwartungshaltung, insbesondere
was die Verwaltung und Einfachheit
anbelangt
Abbildung 5
Seite 7
WHITEPAPER SECURITY
Empfehlung für den Einsatz von Netzwerk-Sicherheit
Festzuhalten ist, dass Security-Bedrohungen sehr individuell wirken. Als erster Schritt gilt
deshalb festzustellen, was an Sicherheitsmechanismen tatsächlich benötigt wird. Wo sind die
„Kronjuwelen“ in Unternehmen und welchen Preis haben diese? Es gilt dann, das optimale
Verhältnis zwischen dem bestmöglichen Maß an Sicherheit und den Kosten zu finden. Genau
an dieser Stelle positioniert sich D-Link mit seinen Security-Lösungen. Die drei brandneuen
Firewall-Systeme DFL-800, DFL-1600 und DFL-2500 bieten „state-of-the-art“ Features zu
einem optimalen Preis/Leistungsverhältnis. Insbesondere mittelständische Unternehmen
profitieren davon, sichere und preiswerte Netzwerk-Segmentierungen durchführen zu können.
Der Firewall-Schutz von wichtigen Servern, Segmenten, bis hin zu ganzen Produktionsnetzen
ist mit der DFL-Serie möglich. Dabei gestatten die Produkte auch den verschlüsselten Aufbau
von VPN-Anbindungen mehrerer Standorte und Nutzer. Dies bedeutet eine
Investitionssicherheit für die Anwender.
Selbst netzwerk-basierende Intrusion Detection Lösungen sind damit umsetzbar. Dies
geschieht mittels Signaturen, welche durch eine spezielle D-Link Security-Webseite
kontinuierlich aktualisiert werden. Damit erhalten die Anwender Schutzfunktionen vor Viren,
Würmern, Trojanern etc. die bislang in dieser Qualität nur teuren Speziallösungen vorbehalten
waren. Weitere Content Security-Features blocken gefährliche Instant Messaging
Anwendungen, über welche zumeist unbemerkt „Malicious Code“ auf den Rechnern installiert
wird.
Sicherheit durch Netzwerke bedeutet auch, dass es ein Zusammenspiel zwischen den
Security-Komponenten und den Switches/Routern geben sollte. Diese Symbiose setzt D-Link
mit seinem Zone Defense Konzept um.
Das Konzept basiert auf einem Zusammenspiel zwischen der Firewall und den xStackSwitches von D-Link. Ungewöhnliches Netzwerkverhalten wird durch die DFL-Firewalls
erkannt und führt dazu, dass sofort verdächtige Ports bzw. infizierte PCs vom Netz getrennt
werden, damit diese keinen weiteren Schaden anrichten können. Das passiert, indem die
Switches automatisch von der Firewall das Kommando erhalten, den infizierten Switch-Port zu
Seite 8
WHITEPAPER SECURITY
deaktivieren. Um die Ports abzuschalten, bedient man sich standardisierter 802.1xKommandos.
In diesen zusätzlichen Sicherheitsfunktionen liegt ein riesengroßer Vorteil dieser neuen
Netzgeneration. Durch solche modernen, intelligenten und sicheren Netze bleiben die
Schäden der elektronischen Feinde begrenzt. Die DFL-Security-Lösungen von D-Link bringen
Sie dabei Ihrem Ziel eines sicheren Netzes zu vernünftigen Preisen einen großen Schritt
näher.
Seite 9